windows安全原理 考点.docVIP

“审核登录事件”与“审核帐户登录事件”的区别 审核登录事件：审核在此策略应用到的系统中发生的登录事件，无论帐户属于谁。换句话说，在域成员上，为此启用成功审核将在有人登录系统时生成一个事件。如果用于登录的帐户是本地的，并且启用了“审核帐户登录事件”设置，则该登录将生成两个事件。 审核帐户登录事件：审核计算机用于验证用户身份的登录事件。换句话说，在域控制器上，这将审核所有的域登录事件，而在域成员上，仅审核使用本地帐户的事件。 登录事件是指当用户登录和注销时产生的记录，不仅指本地，也包括登录到域，和远程登录信息。账户登录不仅可以在主机上产生，也会在域服务器上产生。 1 Windows的API函数 – 操作系统用户模式下的接口 ? 被若干个DLL文件导出：kernel32.dll、user32.dll、gdi32.dll – 逻辑上被分为很多个子类 ? Administration and management（系统管理） Task scheduler, WMI, … ? Diagnostics（系统诊断） ? Event logging, debugging, … ? Graphics and multimedia（图形和多媒体） ? Networking（网络） ? Winsock, … ? Security（安全） ? Security ? System services（系统服务） ? Processes, threads, registry, file systems Windows UI（Windows图形化界面） 进程（Process） 访问控制令牌（Access Token），用以唯一的标识所有者及其所属组以及和该进程相关联的特权（Privilege）信息。 内核模式（Kernel mode）和用户模式（User mode） Windows支持两种处理器模式 ? 内核模式（ring 0） ? 用户模式（ring 3） 内核模式下的代码可以访问 所有的内存空间 可以直接操纵硬件 用户模式下的代码无权访问系统空间的内存页面；无法直接操纵硬件。 用户模式向内核模式的切换是受控制的。 重要的系统进程 – Smss.exe ? 会话（Session）管理器，系统启动时第一个运行的进程。 – Csrss.exe ? Windows子系统进程（客户端-服务器运行进程）。 – Winlogon.exe ? 处理交互式登录。 – Services.exe ? 服务控制管理器，负责启动和停止服务。 – Svchost.exe ? 共享服务的宿主进程。 – Lsass.exe ? 本地安全授权子系统，验证用户登录、授权和审计。 – Userinit.exe ? 初始化用户会话的进程。 原始API函数（Native API） – 未文档化（Undocumented）的接口，被Ntdll.dll所导出。 – 被若干操作系统重要的进程所使用（如smss、csrss等）。 系统服务派遣（System Service Dispatching） 服务（Services） – 服务程序是后台运行的进程，常用来执行特定的任务，不需要和用户进行交互。 ? 自动更新服务、后台智能传输服务、事件日志服务等。 – 服务程序受Service Control Manager（SCM，即services.exe进程）所控制。 – 服务程序的配置数据位于“HKLM\System\CurrentControlSet\Services” – 服务程序的种类 ? 内核驱动（Kernel drivers）服务 ? 独立进程（Separate process）服务 ? 共享进程（Shared process）服务 Svchost.exe 2 本地安全授权子系统（ LSA） 用户身份和权限管理 – 交互式身份验证 – 生成安全访问令牌 – 分配用户特权 – 确定用户权限 安全策略管理 – 管理本地安全策略 – 管理审核策略 对象管理 – 建立可信任域列表 – 确定对象的安全审核策略 – 内存的配额管理 安全参考监视器（SRM） SRM负责所有对对象的访问控制和审核策略（本地安全策略范围之内）。 SRM和Object Manager联合起来，保证用户和进程访问对象的有效性，生成任何所需的审核消息。 C2级别的安全性策略— 自由控制的访问权限 （Discretionary Access Control, DAC） – 自由的访问控制 – 对象的重用 – 强制的用户标识和认证 – 可记账性和审核 Windows安全模型对基于组成员关系的所有域资源实现一致的访问控制。 Windows安全模型的底层原理如下 – 服务器提供对象访问。 – 客户只能通过服务器访问对象。 –